Professional Documents
Culture Documents
Riesgos de Seguridad y
Medidas de Proteccin
en Redes LAN
INDICE
Resmen
1.Introduccin
3.1
3.2
3.3
3.4
10
11
12
13
4.Riesgos crticos
14
15
15
la prdida de equipos
las amenazas de software
el mal uso de personas autorizadas
el uso fraudulento por
usuarios
5.2.1.1 Contraseas
5.2.1.2 Identificacin de usuarios
5.2.1.2.1 Identificacin de usuarios
mediante tarjetas inteligentes
5.2.1.2.2 Identificacin de usuarios
mediante autenticacin biomtrica
5.2.2 Herramientas de encriptacin
5.2.2.1 Encriptacin WEP o WPA
15
16
16
16
17
18
18
19
19
20
20
21
22
23
24
24
26
26
27
27
27
28
28
28
29
7. Conclusiones
30
Bibliografa
32
Resmen
Desde el punto de vista del administrador,
uno de los objetivos de la gestin es asegurar
que el sistema permanezca libre de peligros
que puedan sabotear su operabilidad normal.
Con el auge de la conectividad masiva y el
crecimiento sostenido de internet y las
comunicaciones inalmbricas, los peligros
potenciales se multiplican, as como la
posibilidad de intrusiones, prdida de datos o
daos a la informacin.
Las polticas de seguridad tratan de eludir esos peligros y preparar al administrador para el
momento en que las medidas de seguridad perimetrales sean violadas, protegiendo los datos y la
informacin para minimizar los posibles daos y mantener la operabilidad normal del sistema.
As es que uno de los pilares de la administracin es mantener la integridad, disponibilidad y
confidencialidad de la informacin dentro de la red, evitando de ese modo que la organizacin
detenga la continuidad de sus procesos normales de funcionamiento.
Hoy en da es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por lo que a
la seguridad se le agrega un problema adicional, que es justamente el de carecer de barreras
fsicas.
En esta monografa se trata de orientar al personal tcnico sobre las medidas usuales de
seguridad que deben ser tenidas en cuenta al momento de gestionar los recursos y la informacin,
destacando especialmente que en la actualidad casi todas las redes que combinan la conectividad
de cable con las seales inalmbricas.
Las redes Wifi y cableadas cuentan con elementos de seguridad suficientes pero el mayor
inconveniente es que estos sistemas no funcionan si sus usuarios no los utilizan o no son tenidos
en cuenta en la planificacion y administracin de ese tipo de redes.
En este documento pretendo repasar brevemente todos los aspectos que debe contemplar una
planificacin moderna de seguridad analizando diversos puntos de vista, posibilidades y
estrategias, tratando de ayudar al administrador a entender cules son las debilidades ms
evidentes y urgentes de su red.
1. Introduccin
Integridad quiere decir que los recursos de la red pueden ser usados y modificados por
personas autorizadas y en modo controlado.
La Confidencialidad tiene por fin garantizar que la informacin slo es accesible por la
organizacin y el personal autorizado, evitando su difusin hacia entidades externas.
2. La seguridad y
las redes actuales
En la actualidad es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por lo
que a la seguridad se le agrega un problema adicional, que es justamente el de carecer de
barreras fsicas.
En las redes wifi o redes que tienen segmentos inalmbricos, cualquier persona con una tarjeta wifi
y conocimientos, puede acceder a un punto de acceso y tener la posibilidad potencial de hacer uso
de los recursos de la red.
Si bien en las redes corporativas o profesionales, gestionadas por administradores u operadores
capacitados este tipo de riesgo adicional es tenido en cuenta al momento de la planificacin, en las
redes hogreas o de aficionados, muy pocos usuarios se toman en serio las medidas de seguridad.
Es frecuente que se instale una red Wi-Fi sin modificar la configuracin que trae el sistema por
defecto.
Desde el punto de vista tcnico, las redes Wi-Fi incorporan elementos y sistemas de seguridad
suficientes como para garantizar la confidencialidad, integridad y autenticidad de toda la
informacin. Pero inconveniente es que estos sistemas no funcionan si sus usuarios no los utilizan
o no son tenidos en cuenta en la planificacion y administracin de ese tipo de redes.
Tener un sistema de seguridad no es suficiente si los usuarios no se rigen por las medidas o
protoclos de seguridad implementados. De este modo las medidas de seguridad y el modo de
trabajar de los propios usuarios confluyen al momento de plantear
los riesgos reales de una red.
Es por eso que en la administracin de seguridad se dice que el
ms frecuente punto dbil de la seguridad son los propios
usuarios. Las redes Wi-Fi requieren ms atencin en materia de
seguridad que las redes cableadas, principalmente porque
muchos de sus usuarios no son todava
conscientes de los riesgos.
En el usuario comn la amplia disponibilidad de redes wifi y
cotidianeidad en su uso personal y profesional, crea un falso
sentido de confianza al hacerle creer que sabe operar correctamente con este tipo de redes, y
tiene en cuenta todos los aspectos prcticos que hacen a la seguridad, lo que no es cierto en la
prctica y es justamente contra lo que deben lidiar los adminsitradores de seguridad.
La seguridad es un riesgo para las redes. Todas las tecnologas que han aparecido en el mercado
hasta la fecha desde el inicio de la era de la informtica son suceptibles de un modo u otro de ser
violadas en lo que se refiere a la integridad, confidencialidad o autenticidad de los datos que
contienen.
Si la red est formada por cables, el permetro por el que transcurre la informacin y los puntos de
conectividad con el exterior de la LAN son fcilmente detectables y pueden ser controlados
estrictamente.
Pero cuando la red es completamente Wifi o tiene segmentos inalmbricos, las seales que forman
parte del sistema de conexin pueden ser fcilmente monitoreadas desde el exterior del recinto
vigilado y los instrusos tienen una va adicional de intrusin, que se potencia por la imposibilidad de
controlar el permetro preciso de emisin de las seales. Esto ciertamente es una cuota de riesgo
aadido a las redes. Pero la buena noticia es que ese riesgo es controlable.
Al igual que las redes de cable, en los segmentos wifi se deben tener en cuenta todos los puntos
tecnolgicamente dbiles, pero que en este caso involucran a las seales emitidas y por ende, los
llmites dejan de ser fsicamente definidos por lo que el administrador deber lidiar con una serie de
conceptos puntuales que son inherentes a la naturaleza Wifi y que corresponden a los rangos de
extensin de la seal.
Todos los riesgos que pueden afectar a una red son controlables, cualquiera sea la naturaleza de
la red, pero el riesgo siempre ser mayor cuantas menos medidas de seguridad tomemos. En esta
premisa entra en juego la capacidad del administrador de seguridad, que deber equilibrar las
medidas de seguridad con la facilidad operativa teniendo en cuenta la naturaleza de la red y el
valor de los recursos y la informacin, ya que no es lo mismo administrar una red hogarea, una
red de un banco o una red de un organismo de seguridad nacional. Desde el punto de vista del
administrador los riesgos potenciales dependern entonces de la naturaeza de lo que protege y la
posibilidad de intrusin, que deber ser previsto justamente con ms o menos medidas de
seguridad que de un modo u otro dismunirn la facilidad operativa de la misma.
Como el mayor punto dbil de la red lo constituyen los operadores humanos, las medidas de
seguridad aplicadas debern tener en cuenta justamente este eslabn frgil, y evitar sobrecargar a
la seguridad con medidas que dependan excesivamente de los operadores humanos, propensos a
cometer errores.
Por supuesto que este anlisis deber tener en claro que medidas y herramientas implementar
para alcanzar el nivel de seguridad definido para la red sin desequilibrar la relacin costo/beneficio
y sin afectar la operatividad normal de la red.
Una vez que el administrador defina estos elementos se podrn disear las polticas de seguridad
adecuadas que debern implementarse y crear el permetro de defensa adecuado que permita
proteger los recursos y la informacin. Como hemos mencionado, si la red tiene algn componente
Wifi, ese permetro no ser fsico, sino operativo y extensivo al alcance de las seal o seales
involucradas en el o los segmentos wifi.
Las cuatro categoras de riesgos que preocupan en el uso de cualquier tecnologa de red son las
siguientes:
Amenazas de software
10
indirecto, tomar el control del ordenador, obtener o capturar informacin o modificar algunos
aspectos funcionales del sistema con un fin determinado.
Los virus terminan afectando a todo tipo de redes, sean cableadas o inalmbricas.
Afortunadamente se cuenta en la actualidad con herramientas de calidad suficiente para
mantener controlados los ataques por virus dentro del sistema.
Dentro de esta categora tambin debemos considerar el software mal desarrollado que
contiene errores o bugs, las herramientas de seguridad que en caso de prdida del control
de un equipo o de la red, pueden ser usadas por los atacantes. Las puertas traseras o atajos
que se colocan en los programas por los desarrolladores para tener mayor velocidad en la
deteccin y depuracin de fallos y que suelen mantenerse an despus de liberar las
versiones definitivas de los programas.
11
No se deben olvidar las bombas lgicas, que son cdigos includos dentro de programas y
permanecen en modo de escucha hasta ser activadas, provocando dao, capturando
informacin o canalizando datos a vas alternativas a las legales.
Algunos software pueden usar canales o puertos de comunicacin encubiertos que permiten
transferir informacin violando las polticas de seguridad del sistema por lo que se hace
conveniente monitorear permanentemente los puertos abiertos dentro del sistema.
Cuando un usuario ha pasado todos los niveles de seguridad que se les ha asignado, y se
encuentra dentro del sistema se hace sumamente difcil controlar detalladamente sus pasos
dentro de la red. El seguimiento es posible gracias a diversos programas trazadores y an
reportes, pero desde el punto de vista administrativo se hace muy difcil el seguimiento por la
cantidad de informacin que el administrador deber leer, as es que en ocasiones hay que
privilegiar la previsin mediante el uso de polticas de asignacin de claves y restriccin de
accesos antes que controlar las actividades de los usuarios.
Usualmente esto se complementa con una estricta poltica de gestin de copias de
seguridad (backups) que permiten preservar la informacin.
Este tipo de riesgos crea la necesidad de crear e implementar polticas de seguridad
adecuadas en la empresa que incluyan programas de formacin a los usuarios y hacer
controles peridicos de su cumplimiento, que se conocen como auditoras de seguridad.
12
13
4. Riesgos crticos
De los riesgos mencionados, la Prdida del Equipo es muchas veces el riesgo que se considera
como el ms crtico por parte del administrador de la red.
Perder el control de un equipo puede traer consecuencias que varan de acuerdo al tipo de equipo
que se pierda:
El ordenador perdido puede convertirse tambin en el enclave estratgico del intruso para
proceder a acceder a la red interna de la empresa. En algunos casos, cuando los ataques
son bien planificados, puede suceder que no se provoquen daos a la informacin, sino
robo de la misma y el equipo sea utilizado por los intrusos como un equipo zombie a
travs del uso de algn troyano, o que se le instale algn software de captura de datos
como keyloggers (para captura de nombres de usuario o contraseas), analizadores de
comportamientos, gusanos para expandir algn virus, etc.
Como se puede ver, desde este punto de vista que expongo, los riesgos ms crticos pueden
derivarse de la perdida de un equipo en red. Incluso muchos virus informticos tienen por objeto
que se pierda el control de un equipo para que ste sea utilizado de manera fraudulenta (redes
zombies que generan ataques de denegacin de servicios, troyanos que permiten tomar el control
remoto de equipos a distancia, gusanos que expanden mensajes, propagan virus, extraen
informacin, etc).
14
5. Herramientas y
medidas de
seguridad
La nica manera de conseguir seguridad en cualquier sistema informtico es implementando las
tcnicas de proteccin adecuadas. Ninguna tcnica de proteccin es eficaz al cien por cien,
siempre existe riesgo. Pero mientras ms barreras de seguridad se implementen, menor ser el
riesgo.
Siempre es conveniente recordar que el punto ms dbil de la seguridad la constituyen los
usuarios.
No sirve de mucho si un sistema de cifrado es completamente seguro si no se activa, si sus claves
son evidentes o si se deja con la configuracin por defecto.
Consideraremos tres tipos de herramientas de seguridad:
Herramientas de prevencin
Herramientas de proteccin contra intrusos
Herramientas para recuperacin de datos.
15
16
Si hay algo que conocen los intrusos es la configuracin por defecto de los equipos.
Por ello, es recomendable cambiar las claves de acceso y activar las medidas de
seguridad no configuradas por defecto, principalmente en los segmentos Wifi de la
red, que involucra claves de tipo WEP o WPA.
A nivel de los routers es tambin importante ocultar la identificacin SSID, no habilitar
DHCP o utilizar un firewall.
Herramientas de encriptacin
No habilitar DHCP
Usar un Firewall
17
posible, mayor).
ejemplo, ABCD).
ejemplo, QWERTY).
ejemplo, T2pY1h).
18
Avisar con una leyenda, que slo se tiene tiene una oportunidad ms
para ingresarla
Autenticacin biomtrica
19
20
Por sustitucin en donde cada letra o grupo de letras se reemplaza por otra
letra o grupo de letras para disfrazarla.
La criptografa de clave pblica requiere que cada usuario tenga dos claves, una
pblica, usada para cifrar mensajes destinados a un usuario y una clave privada,
usada slo por el usuario para descifrar mensajes.
Existen dos tipos de claves de encriptacin:
Claves Asimtricas: que usan una clave o algoritmo para grabar o trasmitir y
otra para leer o recibir e interpretar el mensaje.
Los sistemas de clave asimtrica son los que se estn imponiendo, ya que ofrecen un
mayor grado de seguridad. Sobre todo porque no hace falta que la clave sea conocida
por ms de una persona.
5.2.2.1 Encriptacin WEP o WPA
En el caso de las redes Wifi o redes que tengan un
segmento inalmbrico, se usa el cifrado WEP y
WPA, que
son sistemas de cifrado de la
informacin que permiten que slo los equipos con
la clave correcta puedan conectarse al punto de
acceso; y adems permiten que la informacin
intercambiada entre los usuarios y el punto de
acceso est cifrada, y por lo tanto, oculta a los
intrusos.
El sistema WEP es el originario de Wi-Fi y, aunque supone una buena medida
de proteccin, se le encontraron debilidades, por lo que fue sustituido por el
sistema WPA.
El inconveniente de estos sistemas de cifrado es que es necesario introducirlos
manualmente en cada uno de los equipos de la red inalmbrica (punto de
acceso y ordenadores de usuarios), lo que no supone problemas en redes
pequeas, pero en el caso de las redes corporativas complica su gestin. Sobre
todo teniendo en cuenta que para mantener un alto nivel de seguridad es
necesario modificar la clave peridicamente.
Es necesario tener en claro que en el momento en que se introduce la clave se
pierde la conexin con todos los equipos que no dispongan de la misma.
La configuracin en el punto de acceso depende del equipo en cuestin, pero
se trata de buscar las opciones de cifrado (Encryption), seleccionar la opcin de
cifrado elegida (WPA, WEP de 40/64 o 104/128 bits) y elegir el modo como se
va a introducir la clave.
La clave es realmente un conjunto de caracteres hexadecimales. Esto quiere
decir que se puede utilizar cualquier nmero y las letras de la A a la F. No
obstante, como introducir un cdigo hexadecimal puede resultar incmodo, se
puede elegir la opcin de utilizar una frase clave o passphrase.
21
22
asigna cada red y puede ser modificada por sus usuarios. Por tanto, un nmero o
direccin MAC identifica a cada terminal de forma inequvoca.
Aprovechando esto, algunos puntos de acceso wifi ofrecen la posibilidad de definir
una lista de nmeros MAC permitidos.Tambin puede definirse en las reglas de un
firewall.
Esto quiere decir que el punto de acceso o el firewall slo permitir la comunicacin a
los equipos cuyo nmero MAC se encuentre en la lista. Al resto de equipos, entre ellos
al de los intrusos, no se les permitir el acceso.
El filtro MAC es una buena barrera de acceso, no obstante, tiene una debilidad: un
pirata experimentado puede descubrir los nmeros MAC autorizados, modificar este
nmero en su equipo y entrar en la red.
Los nmeros MAC estn formados por 48 bits, es decir, 12 caracteres hexadecimales
que suelen representarse como una cadena de seis grupos de dos cifras separados
por dos puntos (por ejemplo, 12:AB:56:78:90:FE).
Este nmero lo asigna cada fabricante a cada una de las tarjetas de comunicacin
(NIC o Network Interface Card) que produce y tiene la particularidad de ser nico.
Quiere decir que no existen dos tarjetas con nmeros iguales, aunque sean del mismo
fabricante. Esto es lo que se conoce como identificacin globalmente nica.
Los nmeros MAC fueron definidos por el IEEE para ser utilizados con la red Ethernet.
De los 48 bits de que dispone, los ltimo 24 identifican al fabricante de la tarjeta, este
identificador se conoce como OUI (Organizationally Unique Identifier, 'Identificador
nico de organizacin'), pudiendo cada fabricante disponer de ms de uno de estos
identificadores.
5.2.4 No publicar la
identificacin
SSID en redes Wifi
Los puntos de acceso en las redes Wifi
se identifican por un nombre que le otorga su administrador y que se conoce como
SSID o nombre de red. El punto de acceso puede anunciar este nombre, emitir esta
informacin, o mantenerlo oculto.
Cuando lo anuncia, cualquier usuario en su rea de cobertura que explore las redes
disponibles lo
encontrar y podr intentar conectarse a ella con un simple clic. Si el punto de acceso
no publica su SSID, su nombre no aparecer en la lista de redes disponibles, y por
tanto, no invitar a su conexin.
Existen herramientas para descubrir el SSID aunque el punto de acceso no lo
publique, por tanto, un hacker experimentado no tendr problemas en saltarse esta
barrera.
Dado que el identificador SSID se puede elegir, es mejor utilizar un nombre que no
tenga ninguna relacin con los propietarios ni con los usuarios de la red. Esto
complicar, al menos, la identificacin de la red.
23
24
Decide que trafico deja salir en base a las reglas de seguridad programadas
Decide que trafico saliente debe impedir basndose en las reglas de seguridad
programadas
Filtro IP: Si el filtro est programado para PERMITIR, los nmeros IP que se
ingresen en la tabla, sern los autorizados para conectarse mientras que el
resto de nmeros IP sern excludos de la conexin. Si el filtro se configura
para IMPEDIR, los nmeros IP de la tabla no tendrn acceso a la red y el resto
de los nmeros podr conectarse. Este filtro est pensado principalmente para
que el administrador pueda canalizar las comunicaciones de la red en el caso
de que tenga varias puertas de enlace, para que pueda canalizar
comunicaciones dentro de un cierto rango de nmeros IP, como un filtro
semejante al MAC en el caso de que su red tenga equipos con IP fijas o para el
caso de que quiera entubar comunicaciones dentro de segmentos de red.
Adicionalmente tambin puede servir de filtro ante nmeros IP externos
detectados como potencialmente peligrosos. Casi todos los router que he visto
permiten definir nmeros IP individuales o rangos completos de nmeros IP
(definiendo el binomio IP desde / IP hasta).
25
26
27
Colocar una llave tipo yale o trabex, para cortar la alimentacin elctrica del
equipo. Esto permitir garantizar que slo el poseedor de la llave fsica pueda
usar el equipo.
Eliminar las unidades de almacenamiento externo y puertos que permitan la
conexin de dispositivos de almacenamiento. Esto eveiar que los usuarios
puedan bajar y trasladar informacin privativa de la empresa con el beneficio
adicional de impedir el ingreso de virus por esas vas.
Colocar un dispositivo lector o lectograbador de tarjetas magnticas lo que
permitir entregarle a cada usuario una tarjeta magnetizada con los datos para
validar la identificacin y autenticidad, adems de la clave que tambin debe
ingresar tipeando.
Colocar una cmara de vdeo para grabar la imagen de quien est frente al
monitor y el teclado, programando la grabacin cada cierto tiempo.
Implementar sistemas de autenticacin por firma digital, de modo que se pueda
captar la firma en un scanner y cmparar firmas grabadas
28
6. Recomendaciones
bsicas
de seguridad
Despus de haber analizado todos los aspectos de la seguridad,
es conveniente para el administrador determinar los aspectos fundamentales que deber tener en
cuenta al crear el protocolo y las polticas generales en el lineamiento de la seguridad.
Si bien cada red tiene sus propias particularidades, algunos aspectos forman parte del fundamento
de cualquier poltica de seguridad y sin lugar a dudas, deben ser tenidos en cuenta en todo
momento, ms all de los riesgos particulares de cada entorno.
Siempre el administrador deber tener en cuenta los siguientes aspectos:
Cambiar los parmetros de seguridad por defecto que estn configurados en los
equipos.
En los segmentos Wifi, activar el cifrado WPA si es posible y como mnimo el WEP.
Hacer uso de navegadores web que cuenten con proteccin adicional mediante la
deteccin de webs atacantes que intentan correr scripts Ajax o de otras tecnologas
(ASP, etc).
29
Programar la mayor cantidad de filtros posibles dentro de las reglas del firewall.
7. Conclusiones
Existen otras redes inalmbricas que operen por la zona y puedan enlazar mis punto de
acceso?
Cmo puedo estar seguro de que mi firewall est haciendo bien su trabajo?
En definitiva la auditora en seguridad trata de determinar las debilidades de una red y valorar el
riesgo de que nuestros datos estn expuestos a terceras personas. Esto ltimo es una tarea, hasta
cierto punto subjetiva, que depende de la actividad a la que nos dediquemos.
Sin embargo, para analizar las debilidades de nuestra red, contamos con herramientas
30
interesantes. Ahora bien, de la misma forma que estas herramientas ayudan a analizar y mejorar la
seguridad de una red de cable e inalmbrica y ayudan a los intrusos a averiguar por dnde poder
atacamos. Por tanto, es importante sacar ventaja del conocimiento de estas herramientas.
Algunos de estos productos son los siguientes:
InternetScanner. Es una muy buena herramienta que ayuda a detectar las vulnerabilidades
del sistema.
Netwatcher 2000. Registra los datos (fecha, hora, direccin IP y nmero de puerto) de
todos los que intentan acceder a la red.
Airsnare. Explora la red en busca de intrusos y muestra su actividad. Con la utilidad Airhom
se le pueden enviar mensajes al intruso.
Tambin existen herramientas profesionales que permiten gestionar la seguridad de las redes de
una forma centralizada. Estos programas informan de posibles incidencias, realizan informes y
permiten administrar cada uno de los puntos de acceso de forma centralizada.
31
Bibliografa
32
33